進入大數據時代,誠如《經濟學人》所說:數據成為新時代的石油,大數據幾乎可以搞定一切。數據經由深度分析,轉而用于商業中,價值不可估量。
尼爾·波茲曼曾預言,我們終將毀于我們所熱愛的東西。
近幾年,數據泄露事件頻發,并有愈演愈烈之勢,僅在2017年上半年,全球就有19億條記錄被泄或被盜,比2016年全年總量(14億)還多。這使得越來越多的企業“成也數據,敗也數據”,安全痼疾引發強烈關注,數據安全行業迎來高速發展的春天。
據全球知名市場調研公司Gartner發布最新預測:2017年內,全球信息安全產品及服務支出將達到864億美元,比2016年增長7%;2018年,這一數字將增長到930億美元。據此,可以預見2018年數據安全行業將迎來爆發式發展。
伴隨數據安全行業大爆發,政策、資源、人才、智力技術將快速朝該領域聚攏。以何種姿態迎接這一行業發展趨勢,是全球范圍內所有參與建設數據安全大生態的政府、組織機構、企業、個人需要思考的問題。在這一點上,我們已經看到了國家、全球組織、行業等在立法層面給我們樹立的榜樣:
法律法規緊鑼密鼓,成為數據安全的緊箍咒:
1、GDPR
而在遙遠的歐盟體系中,將于2018年5月正式出臺史上最嚴數據安全保護法案——《通用數據保護條例》(以下簡稱GDPR)。為什么稱史上最嚴呢?看看其規定的天價罰金自會明了。據悉,公司一旦違反該法案,最高罰金可達公司全球總收益的4%或2000萬歐元中的高者。懲罰并非目的,GDPR立法的重心在于規定個人數據處理的基本原則、數據主體的權利、數據控制者和處理者的義務配置等。事實上,無論公司總部在哪兒,無論數據存儲和處理地點在哪兒,只要與身處歐盟的人做生意,或者監視歐盟公民的行為,就必須遵從GDPR。也即,如果你收集歐盟公民的數據,你就受到GDPR的管轄。此法案一出,GDPR覆蓋網內的企業可謂人人自危,面對交不起的天價罰金,行動是唯一的選擇。
2、《網絡安全法》
作為高度重視數據在新常態中推動國家現代化建設的基礎性、戰略性作用的中國政府,面對日益嚴峻的數據安全態勢,站在建設網絡安全強國的戰略高度,出臺了我國網絡空間“基本大法”——《網絡安全法》。該法于2017年6月1日正式施行,對數據的安全保護,主要著眼于兩方面:一是要求各類組織切實承擔起保障數據安全的責任,即保密性、完整性、可控性;二是保障個人對其個人信息的安全可控。《網絡安全法》可以說完成了對數據安全保護三個階梯式層次的補充:從最基礎的數據安全,到個人數據的保護,然后關注最高層次國家層面的數據保護?!毒W絡安全法》的實施,讓數據保護有法可依,也驅動著各行業企業開始將數據安全建設納入信息化建設的重要地位。
3、《個人信息安全規范》
作為《網絡安全法》的一個有益補充,國家標準《信息安全技術個人信息安全規范》(以下簡稱:《個人信息安全規范》)也將于2018年5月1日實施。該規范在《網絡安全法》等法律法規的框架下,從國家標準層面,明確了企業收集、使用、分享個人信息的合規要求,為企業制定隱私政策及個人信息管理規范指明了方向。據專家評價,這部法規的嚴格程度介于歐盟與美國之間,因此,同樣需要付出較大的關注和必要的行動來滿足要求。
除了上述幾大立法舉措,各行各業制定的關于數據安全保護的法律法規也開始收緊對數據安全威脅的管控。面對數據安全威脅觸發的高昂代價,順應大勢所趨,積極尋求數據安全治理已經成為一種遠見卓識。越早地直面安全問題,越能夠在數據即資產的時代里游刃有余地展開運營活動。可見,無論從立法層面還是現實需求層面看,數據安全市場都是一片藍海。
面對行業大爆發,國內的安全企業將大有可為:
視野聚焦回國內,中國的數據安全行業態勢如何?Gartner預測,到2021年,中國八成以上的大型企業將部署由本地供應商提供的網絡安全設備。其愿意在于,已經施行的《網絡安全法》將幫助中國本土供應商進一步抗衡美制網絡安全產品。另外,中國本地供應商的產品價格低廉也是重要原因。從這一方面來看,國內數據安全行業將迎來大發展。
由政策和市場需求催生的安全保護手段日漸豐富起來,面對快速推出的新技術、新產品,企業應當結合業務特征來開啟自身的數據安全建設之路。建議企業采取數據安全治理的思路,聚焦數據這一核心關鍵點(因為大部分數據都是存儲在數據庫中,所以要重點關注數據庫安全),堅持數據安全治理技術路線,構建全面的數據安全保障體系,整體提升數據安全防護能力。
數據安全采用的常用技術推薦:
DAP(Data Audit and Protection)——提供了數據庫中發生的活動的報告與預警,屬于審計的范疇。其技術功能包括對數據庫的發現和分類,漏洞管理,應用關聯分析,入侵防御,對非結構化數據安全性的支持,身份和訪問管理集成以及風險管理支持。
DLP(Data leakage prevention)——提供對敏感數據的可見性,無論是在端點上使用,在網絡上運動還是靜止在文件共享上。使用DLP,組織可以實時保護從端點或電子郵件中提取的非結構化數據。較之DCAP工具最大的不同,DLP更側重于保護將離開組織的數據。
數據加密——考慮性能和成本,企業傾向只為最敏感的數據保存進行數據庫加密。在加密方法上用戶還關心保格式加密和無鑰匙加密等技術。
數據脫敏——數據脫敏技術旨在防止濫用敏感數據,該技術為用戶提供虛構但具備實用價值的數據,數據經歷單向轉換,屬于不可逆過程。目前該技術方法已被金融部門廣泛采用,醫療,政府和石油等行業的用戶也開始對脫敏表現出很大的興趣。
面對數據安全行業大爆發,數據安全問題將升級為全球密切關切的大問題。企業作為重要參與者,積極部署新技術創造安全環境是應盡之責。而安全企業則要強化自身技術儲備,提供高價值數據安全解決方案,引領數據安全生態朝著健康、穩定、高效的方向發展,擁抱機會,創造價值。
評論
查看更多